Обережно: шахраї. Як з карткових рахунків українців зникають гроші

  1. Злочини без покарання
  2. скіммінг
  3. Поради мандрівникам
  4. Телефонне шахрайство (вішинг)
  5. фішинг
  6. Як борються з шахраями
  7. (Mobile first + PCI DSS) х Face ID

Пластикові карти - вже цілком звичний для українців платіжний інструмент. За даними НБУ, кількість активних платіжних карт в першому півріччі цього року склало більше 32,6 млн штук. Частка безготівкових розрахунків з використанням карт перевищила 38%

Злочини без покарання

Чим активніше громадяни освоюють пластик, тим наполегливіше стають шахраї, які намагаються дістатися до їх карткових рахунків. За даними Української міжбанківської асоціації членів платіжних систем ЕМА, в 2016 р злочинці вкрали у власників карт понад 340 млн грн. Це в чотири рази більше, ніж в 2015 р, коли сума збитку склала лише 84,36 млн грн. Зараз з шахрайством стикається кожен восьмидесятих українець. Для порівняння: рік тому йшлося лише про кожен двохсотий нашого співвітчизника. "Оцінити суми збитку за 2017 рік поки що досить складно, як і підрахувати співвідношення кількості спроб і реальних крадіжок. Але зрозуміло, що з часом успішних спроб стає все менше, оскільки громадяни тепер набагато краще обізнані в питаннях карткової безпеки", - констатують в ЕМА .

Радує і те, що кількість кіберзлочинів в Україні поки нижче, ніж в більшості європейських країн. А ось відсоток розкриття таких афер у нас залишається дуже низьким. Так, в першому півріччі управління Нацполіціі по боротьбі з кіберзлочинністю виявило 2385 злочинів у сфері електронної комерції. З них трохи менше половини - 956 - з використанням платіжних інструментів. Але покараний був лише кожен десятий злочинець - обвинувальних вироків винесли 230. Не дивно, що, відчуваючи безкарність, шахраї знову і знову вирішуються на порушення закону.

Шахраї проявляють незвичайну винахідливість - хоча б одна нова схема обману з'являється мало не кожен квартал. "Злочинці також вдосконалюють вже існуючі способи і механізми, що застосовуються для вчинення злочинів. Вони доповнюють їх новими технічними та інтелектуальними доробками", - розповів "ВД" директор з ризиків банку "Кредит Дніпро" Олег Пахомов.

Найпопулярніші способи крадіжки грошей пов'язані з соціальною інженерією (т. Н. Вішинг і фішинг). Як і раніше процвітає і банкоматні шахрайство. За словами Олега Пахомова, найбільш руйнівними для жертв є скімінг і вішинг. Саме з їх допомогою шахраї забирають з рахунків найбільш значні суми.

"У 2016 році 276 млн грн (а це більше 80% від загальної суми коштів - розрахункового доходу шахраїв) було вкрадено в результаті виманювання реквізитів карт по телефону. У 2017-му телефонні шахраї теж в лідерах - їм досі вдається ловити на вудку тисячі довірливих українців ", - констатують в ЕМА.

Кеш-треппинг

Кеш-треппинг, або пастка для кеша, може бути використаний як для карт із магнітною смугою, так і чіпових, і не вимагає від шахраїв великих зусиль. Це досить простий фокус: на банкомат встановлюється спеціальна планка з клейким скотчем, яка блокує шторку пристрою, що видає купюри. Коли банкомат відраховує гроші, готівкові прилипають до липкої стрічки, а планка не дозволяє їм вийти назовні. Довірливий клієнт, почекавши трохи, зазвичай вирішує, що машина несправна, гроші повернулися на картковий рахунок, і спокійно йде. Дочекавшись, коли жертва віддалиться, аферисти забирають прилип кеш з машини.

"Найчастіше зловмисники орудують в районах, де банкоматами для зняття готівки користується багато людей. Це можуть бути як місця великого скупчення народу (торгово-розважальні центри, парки відпочинку, транспортні розв'язки, банкомати близько великих підприємств і бізнес-центрів), так і магазини в спальних районах. Злочинці вибирають дні, коли люди частіше знімають гроші: свята, вихідні, дати отримання зарплати і т. д. ", - розповідають в ЕМА.

Здогадатися, що кеш потрапив в капкан, нескладно. Як правило, видаючи готівку, банкомат інформує про це власника карти за допомогою повідомлення на екрані. Якщо таке повідомлення є і при цьому надійшло повідомлення від банку про списання суми з рахунку, а гроші так і не з'явилися, сумнівів бути не повинно - ваш кеш "влип" у розставлену злочинцями пастку. У такому разі не можна відходити від банкомата, щоб ніхто не зміг забрати готівку. Можна навіть спробувати самому добути з машини гроші (пастка зазвичай сидить неглибоко і нещільно, щоб шахраї могли її вийняти за дві секунди). Альтернативний варіант - зателефонувати в банк і повідомити про те, що трапилося співробітнику контакт-центру.

Кеш-треппинг масово використовувався шахраями в Україні в останні роки. Однак в цьому році кількість таких злочинів впало. За даними ЕМА, за січень-червень було виявлено тільки 66 випадків перехоплення готівки. За аналогічний період 2016 р таких випадків було 468. Причина проста: зараз українці більше знають про злочини подібного роду і не попадаються легко на гачок аферистів. До того ж в боротьбу з пастками включилися банки. Вони розміщують антікештреппінговие накладки на шторках банкоматів і не дають шахраям можливості встановити капкани.

скіммінг

Один з поширених видів обману - традиційний скімінг. Або, простіше кажучи, крадіжка даних пластикових карт для виготовлення підробленого пластику. У першому півріччі 2017 року було зафіксовано 50 випадків установки скіммінгових обладнання на банкоматах України. Велика їх частина припала на Київ і Одесу.

Найчастіше зустрічається фізичний скімінг. Зловмисники встановлюють на банкоматах спеціальні пристрої, які дозволяють копіювати дані карт, - накладки на клавіатуру, крихітні відеокамери, вставки і накладки на приймач карток і т. П. Після цього вони виготовляють дублікат карти і, знаючи ПІН-код, знімають гроші з рахунку.

Ще один різновид скіммінгу - кібернетичний. Але, по суті, він зводиться до тієї ж крадіжці даних. Тільки в цьому випадку злочинці отримують інформацію з магнітної смуги карти за допомогою спеціального шкідливого програмного забезпечення, яке встановлюють на кеш-
машинах.

Банки намагаються активно боротися зі скіммінгу - встановлюють на банкомати сигналізації, антіскіммінговие пристрої, додаткове програмне забезпечення, в тому числі антивірусне. Але багато що залежить і від обережності самих власників карток. Наприклад, перш ніж скористатися кеш-машиною, банкіри радять порівняти зовнішній вигляд банкомату і отвори для прийому карт з картинкою на екрані. Якщо кардрідер відрізняється від зображення на картинці, готівкові краще взагалі не знімати.

Не всі накладки можна побачити неозброєним оком. Скиммери часто використовують приховані пристрої, наприклад, глибоку вставку. Тому єдино вірний і надійний спосіб захисту - не дати злочинцям підглянути ПІН-код. Тоді вони ні за яких умов не зможуть отримати доступ до карти. Найпростіший шлях - прикривати клавіатуру під час введення коду або долонею, або якимось іншим предметом.

"Також краще не знімати кошти в підозрілих банкоматах, а використовувати машини, розташовані безпосередньо у відділеннях банку", - рекомендує директор департаменту роздрібного бізнесу банку "Південний" Артем сімейного.

"Якщо вам не подобається зовнішній вигляд банкомату (АТМ): складно вставити в нього карту, хтось сторонній довго стоїть біля банкомату або просто зовнішній вигляд не сподобався, то наша порада: не знімайте в ньому гроші, не перевіряйте баланс. Краще виберіть інший банкомат. А якщо вам щось не сподобалося при розрахунку карткою або знятті грошей, зв'яжіться з банком і заблокуйте її відразу ", - говорить керівник управління платіжних карт Піреус Банку Олена Горлушко.

Поради мандрівникам

Власники карток схильні до ризиків не тільки в Україні, але і при поїздках в зарубіжні країни. Накладки на банкоматах, скімінг і пастки для кеша - все це поширене і за кордоном. "При виборі платіжної картки в банку краще зупинитися на мапі з чіпом (або безконтактної карти). Дані, які містяться на такий платіжній картці, зашифровані за допомогою складних цифрових кодів і простим скиммером їх не можна вважати", - радить Артем сімейного.

Але є ряд країн, які банки вважають особливо небезпечними з точки зору шахрайства. У кожної фінустанови є свій чорний список. "Залежно від банку на розрахунки в таких країнах встановлюються обмеження. Наприклад," 0 "на зняття грошей в банкоматі (АТМ) або" 0 "на безготівковий розрахунок (магазини, готелі і т. Д.). Відповідно, якщо клієнт виїжджає в таку країну, йому необхідно звернутися в банк і скасувати обмеження. у кожного банку на сайті є список ризикових країн. Про нього також можна дізнатися, звернувшись в контакт-центр банку ", - розповідає Олена Горлушко.

Наприклад, багато фінустанов включають до цього переліку Тайвань, Перу, Індії, Чилі, Гонконг, Китай, Індонезію, Філіппіни, Малайзію, Таїланд, Туніс, Шрі-Ланку, ПАР. На деяких банківських сайтах ми також виявили в чорних списках Марокко, Мавританії, Домініканську Республіку, Бразилію і навіть Болгарію.

"Перед кожною подорожжю за кордон ми радимо клієнтам повідомити в банк, в яку країну і на який термін вони відправляються. Це дозволить уникнути блокування карти і додаткових витрат на телефонні дзвінки в тому випадку, якщо служба моніторингу операцій банку вважатиме ваші операції підозрілими", - каже Артем сімейного.

Також варто пам'ятати, що передавати карту в треті руки небезпечно. Її реквізити - номер, термін дії, CVV2 / CVC2 коди - можуть бути скопійовані або сфотографовані. Такий вид шахрайства найчастіше зустрічається в аеропортах.

Безвідмовний засіб захисту карткового рахунку - установка добового ліміту на операції. Потрібно тільки прикинути, скільки грошей ви збираєтеся витрачати в подорож, і обмежити суму зняття готівки. Такий же ліміт повинен бути встановлений і для безготівкових розрахунків. Це можна зробити через інтернет-банкінг або подати заяву в відділенні банку. Тоді навіть в найгіршому випадку шахраї зможуть зняти не більше добового ліміту. Основна сума на рахунку залишиться недоступною.

Також можна завести два карткових рахунки - основний і додатковий. На першому необхідно тримати всю основну частину коштів, на другому - гроші на поточні витрати.

Телефонне шахрайство (вішинг)

Все більших обертів набирає так званий вішинг - телефонні дзвінки для виманювання реквізитів банківських карт. За даними ЕМА, в 2016 р середня сума, яку злочинці виманювали у однієї жертви за допомогою вішинг, становила 1403 грн.

Шахраї під різними приводами випитують по телефону секретні дані карт. Наприклад, розповідають людям про неіснуючі акціях або великих виграші. Зрозуміло, для отримання грошового призу секретні дані карти нібито просто необхідні.

Цікаво, що понад 90% телефонних шахраїв представляються потенційній жертві співробітниками того чи іншого банку (іноді навіть співробітниками Національного банку України). Наприклад, людині можуть розповісти, що його карта через якогось збою в програмі буде заблокована. Щоб її "розблокувати", співробітнику потрібні секретні реквізити - термін дії карти, тризначний код безпеки зі зворотного боку карти, або код CVC2 / CVV2. Після того як довірлива жертва повідомляє ці дані шахраям, ті отримують доступ до її банківському рахунку і можуть розпоряджатися грошима на свій розсуд.

Злочинці використовують і інші легенди: нібито "по карті проводяться підозрілі операції"; "Потрібно перереєструвати карту і пройти верифікацію"; "Вам прийшов платіж, але, щоб зарахувати гроші, потрібні всі дані карти". Іноді телефонують під приводом оцінки банківського обслуговування. Вони запитують думку про банк, і як би між іншим вивуджують секретні дані карти.

Буває, що шахраї обдзвонюють людей, представляючись службою безпеки Національного банку, і запитують, в якому конкретно банку ті обслуговуються. А через короткий час базіці вже дзвонять з того самого банку, щоб вивудити інші дані.

Іноді жертві телефонує не саме злочинець, а робот, запрограмований через систему IVR (інтерактивних голосових відповідей). З його допомогою шахраї створюють видимість дзвінка з банку, який нібито збирає інформацію про клієнта. Для "уточнення чи перевірки інформації" робот запитує дані карт, логіни-паролі для входу в інтернет-банк, CVV-коди, PIN-коди. Часто робот говорить, що збирає інформацію, оскільки стався збій системи.

В кінці минулого і в нинішньому році шахраї втілили ще одну хитру схему. Вони масово розсилали на телефони українців смс від імені найбільших роздрібних банків з загрозою заблокувати платіжну карту. У повідомленні вказувався номер телефону, за яким власнику пластика рекомендували терміново зв'язатися з нібито колл-центром. Там на дзвінок відповідали липові співробітники і вивідували дані карти.

Фінансисти невтомно повторюють, що справжній співробітник банку ні в якому разі не стане питати конфіденційні дані картки клієнта. Якщо вам дзвонять і вимагають повідомити секретні реквізити - це шахраї. В такому випадку краще припинити розмову і передзвонити безпосередньо в банк, щоб підтвердити, що з картою все в порядку. Або, якщо щось не так, вжити необхідних заходів.

Обережно - соцмережі!

Ще одну кримінальну нововведення - виманювання даних у громадян через соціальні мережі та месенджери. Шахраї зламують аккаунт соціальної мережі, скайп, whatsApp, viber або інший чат. Після цього вони роблять розсилку по всьому списку контактів жертви. Наприклад, просять допомогти другу до зарплати або запитують дані банківської картки, паролі і телефон, щоб терміново перекинути кошти на карту одного, оскільки "у моїй закінчився термін дії". Таким способом злочинці вивуджують дані платіжної карти або відразу отримують гроші від "соціального френда". Буває і так, що злочинці встигають повністю спустошити картковий рахунок, перш ніж людина здогадується передзвонити одному і запитати, чи дійсно прохання виходила від нього.

Маніпулятори часто користуються неписьменністю людей, які не цілком знайомі з особливостями користування банкоматами і терміналами. "Популярною серед шахраїв залишається схема обману, коли жертву" ведуть "до банкомату, обіцяючи, що там вона отримає гроші на карту (надбавку до пенсії, матеріальну допомогу, виграш в лотерею, грошовий приз від магазину і т. П.). Людину переконують піти до банкомата, вставити свою картку і виконати інструкції, продиктовані по телефону. в результаті він, нічого не підозрюючи, відправляє гроші зі своєї картки на картку злочинця ", - розповідають в асоціації ЕМА.

фішинг

Все більше українців розплачується карткою в інтернеті. Сьогодні на онлайн-платежі припадає приблизно 15% від усіх платежів картою. Кількість таких операцій зросла на 27%, якщо порівнювати з показниками минулого року. Це не пройшло повз увагу шахраїв - слідом за банківськими клієнтами вони стали впроваджуватися і в віртуальний світ.

Хіт останніх кількох років - так званий фішинг. Це створення спеціальних сайтів-клонів, за допомогою яких злочинці збирають реквізити платіжних карт. Вони переконують користувачів вводити конфіденційні дані своїх платіжних карт і таким чином отримують доступ до їхніх рахунків.

Сайти-примари дублюють відомі інтернет-магазини, сервіси для поповнення мобільного телефону, здійснення грошових переказів, покупки авіаквитків або отримання онлайн-кредитів. За даними ЕМА, з початку 2017 р виявлено вже 82 фішингових сайту. Велика частина (64) з яких маскувалася під веб-сервіси для електронних платежів. У минулому році сайтів-клонів було приблизно на третину більше.

Одна з останніх знахідок - фішингових сайтів "Приват 24", який виманював у користувачів паролі доступу до інтернет-банкінгу Приватбанку. Адреса фішингових веб-ресурсу - http://pb24corp.at.ua. Коли людина заходила на цю сторінку, сайт просив ввести номер телефону і пароль доступу до "Приват 24".

Шахраї правдами і неправдами намагаються переконати користувача, що той використовує офіційний ресурс. Їх липові сайти часто виглядають дуже правдоподібно. Наприклад, адресна рядок деяких фішингових веб-ресурсів тепер починається з https, що є ознакою захищеного з'єднання. Побачивши в рядку https, користувач розслабляється і легко потрапляє в пастку.

Серйозну небезпеку становлять сторінки-клони, які копіюють сервіси грошових переказів. Як правило, вони забезпечені програмою, яка підміняє номер картки одержувача грошей. Нічого не підозрюючи користувач відправляє переклад, а програма в останній момент змінює номер карти, а іноді і суму, і в кінцевому підсумку гроші потрапляють на рахунок шахрая. Безтурботний відправник отримує смс про списання коштів з картки і навіть не підозрює, що попався в пастку.

Як борються з шахраями

Банки, платіжні онлайн-сервіси, онлайн-платформи продажів і кіберполіції все щільніше співпрацюють між собою, об'єднуючись проти аферистів. Наочний приклад - міжбанківська система обміну інформацією Exchange-online. Її ще з 2011 р використовували для обміну даними про шахраїв і вчинених ними злочинах не тільки банки, але і правоохоронці. В рамках цієї платформи був створений чорний список шахраїв. Так, тільки за січень-червень в нього внесли 1700 записів з телефонами та юридичними адресами шахраїв.

Фінансисти констатують, що часто жертви аферистів навіть не намагаються заявити про злочин, вважаючи, що гроші втрачені безповоротно. Насправді це не так. Необхідно повідомити дані про шахрая (зокрема, номер його рахунку) і вчинений злочин до кіберполіції і банк. У цьому випадку банк може втрутитися - заблокувати рахунок і не дозволити шахраю зняти вкрадені кошти.

"На базі Exchange-online також розроблена система, яка допомагає скоротити час на взаємодію кіберполіції і банків. Протягом доби банк відповідає на запит системи про той чи інший шахрайському рахунку. Кіберполіцейських через систему отримують інформацію, де були переведені в готівку гроші з карти шахрая (який ці гроші краде у своїх жертв) ", - говорять в ЕМА. Нова система отримала назву CrimeCheck. Зараз її використання знаходиться на стадії пілотної експлуатації.

(Mobile first + PCI DSS) х Face ID

разом з Юрієм Кучером розраховуємо формулу безпеки в сфері р2р перекладів

Обсяг карткового шахрайства в інтернеті за останній рік виріс більш ніж в чотири рази. За статистикою практично кожен 80-й українець постраждав від даного виду злочинів. Однією з найважливіших завдань компаній, що надають послуги на ринку p2p перекладів, є забезпечення інформаційної безпеки клієнтів. Сьогодні про безпеку в цій сфері ми говоримо з Юрієм Кучером, CIO MOSST Payments. MOSST Payments працює на українському ринку грошових переказів і вже заслужив репутацію на-надійного інноваційного сервісу, якому довіряють клієнти. У мобільному додатку MOSST Грошові перекази компанія вперше в Європі і СНД реалізувала механізм аутентифікації користувача по біометрії особи (Face ID). Для здійснення грошового переказу клієнту достатньо знати лише номер мобільного телефону або email одержувача.

ВД: Чи є сучасний ринок грошових переказів України безпечним?

Ю.К. У порівнянні з оффлайн-перекладами шахраям простіше оперувати в поле електронних онлайн-каналів і використовувати дані скомпрометованих платіжних карт. Майже кожному з нас приходили смс або надходили дзвінки від нібито співробітників банків або державних органів, в ході яких злочинці намагалися вивідати конфіденційну інформацію. Крім того, широке поширення набули фішингові сайти, виконані в стилістиці відомих гравців ринку, але працюють і рекламовані під іншими доменними іменами. Як наслідок, клієнт сам вводить всі свої карткові дані на подібних майданчиках, а шахраї в режимі реального часу використовують їх для поповнення своїх мобільних телефонів (припейд-номера) або покупок.

ВД: Які основні механізми для забезпечення безпеки користувачів?

Ю.К. Найважливіший фактор, на який ми зробили ставку в своїй стратегії, - це концепція MobileFirst, тобто фокус на розвитку мобільних додатків як інструменту перекладів. Безумовно, у нас є і веб-версія ресурсу (www.mosst.ua), але саме наші мобільні додатки захищені від технологій фішингу, що застосовуються шахраями, як я говорив вище.

Як світової інновації, яку ми принесли в Україну як інструмент безпеки одночасно з зручністю, - це технологія аутентифікації в додаток за допомогою розпізнавання особи (Face ID). Таким чином, крім уже традиційного способу аутентифікації по відбитку пальця (Touch ID), наш клієнт може захищати свої дані за допомогою Face ID. І доступна ця технологія на будь-якому смартфоні, на якому є фронтальна камера і наше додаток. Як і відбиток пальця, так і фото не передаються на сервер, зберігаються в смартфоні в захищеній області, а перевірка безпеки відбувається по згенеровані токені - криптограмі. Найближчим часом ми плануємо дати користувачам можливість біометричного захисту по голосу.

ВД: Як фінансова діяльність MOSST корелюється з міжнародними платіжними системами Visa і MasterСard?

Ю.К. І Visa, і MasterCard - наші стратегічні партнери, ми постійно впроваджуємо їх напрацювання. Наприклад, рішення Visa CyberSource є багаторівневою системою захисту і перевірки даних між учасниками транзакцій за допомогою настроюваних правил. Таким чином, шахрайська транзакція може бути зупинена як на рівні авторизації клієнта, так і на рівні проведення платежу.

ВД: Які міжнародні ресурси залучені в контроль безпеки платежів MOSST?

Ю.К. Ми використовуємо напрацювання і експертизу провідних компаній в області IТ: Microsoft, Symantec, Fortinet і ін. Нашим аудитором по PCI DSS і безпеки є велика міжнародна компанія, представлена ​​в багатьох країнах світу.

ВД: Які рекомендації з точки зору безпеки ви б могли дати користувачам, які часто користуються грошовими переказами з карти на карту?

Ю.К. Перше - використовуйте для переказів мобільні додатки. Так, таких рішень небагато, але вони з'являються. Друге - ніколи не повідомляйте свої карткові дані незнайомим людям по телефону, не важливо, ким вони представляються або які аргументи наводять для того, щоб виманити у вас номер карти, термін дії та код безпеки CVV (тризначний код на звороті картки). І третя порада - використовуйте сервіси провайдерів, які інвестують в безпеку, сертифіковані і контрольовані як міжнародними аудиторами, так і Національним банком України.

ВД: Чи є сучасний ринок грошових переказів України безпечним?
ВД: Які основні механізми для забезпечення безпеки користувачів?
ВД: Як фінансова діяльність MOSST корелюється з міжнародними платіжними системами Visa і MasterСard?
ВД: Які міжнародні ресурси залучені в контроль безпеки платежів MOSST?
ВД: Які рекомендації з точки зору безпеки ви б могли дати користувачам, які часто користуються грошовими переказами з карти на карту?